研究者が明らかにした「Windows Hello」の顔認証をパイパスできる脆弱性

　「Windows 10」の「Windows Hello」による顔認証を、標的とする人の赤外線（IR）フレーム1つのみでバイパス可能にする手段について、セキュリティ企業Cyber Arkの研究者が先週明らかにした。攻撃者がそれをどのように悪用する恐れがあるかということについても指摘している。

　手の込んだ攻撃となるようだ。ユーザーの顔のIR画像を入手し、Windows Helloに対応したカスタムのUSBデバイスを用意するなど、相応の計画が必要となる。この攻撃は、Windows 10がそうしたUSBデバイスをいかに扱うかを悪用したもので、攻撃者は標的とするPCへの物理的なアクセスが必要なようだ。

　しかし、条件さえ満たせば、攻撃者は狙ったWindows 10搭載PCで、機密情報に加え、「Microsoft 365」のクラウドサービスに保管されている情報にもアクセスできる可能性があるかもしれない。

マイクロソフトのCISOが語る--なぜパスワードをなくそうとしているのか

　Cyber Arkの研究者のOmer Tsarfati氏は、ブログ記事で次のように説明している。「ターゲットの有効なIRフレームが1つだけあれば、攻撃者はWindows Helloの顔認証メカニズムをう回し、認証システムを完全にバイパスして、被害者の機密情報全てにアクセスできる可能性がある」

　攻撃者は標的とする人のIRフレームを撮影する、あるいは標的の通常のRGBフレームをIRフレームに変換するなどして、標的の有効なIRを取得することが考えられる。

　USBカメラはIRとRGBのセンサーをサポートするというWindows Helloの要件を満たす必要があるが、Windows HelloがUSBデバイスから、人の顔画像といった「パブリック」なデータを扱う方法に明らかな弱みがあるとCyber Arkは指摘した。

　研究者は、認証プロセスではIRカメラのフレームのみが処理されることが分かったとしている。そのため、Windows Helloの認証をバイパスする際に、攻撃者は有効なIRフレームがあればよい。一方、RGBフレームの内容は何でも構わないとのことだ。Tsarfati氏によると、テストでアニメキャラクターの「スポンジ・ボブ」のRGBフレームを使用し、パイパスに成功したという。

　Tsarfati氏は、標的とする人のIRフレームを入手するのは、かなり簡単なはずだと述べている。例えば、IRカメラを持ってすれ違いざまや、エレバーター内など、その人が通りそうな場所に設置して撮影する方法などが考えられる。また、ハイエンドの赤外線センサーを使えば、離れた場所からでも撮影できるだろう。

　Microsoftは先週、この脆弱性に対処したとTsarfati氏は述べている。「CVE-2021-34466」として公開されている。

　同社は、攻撃者は物理的なアクセスが必要であるなど、首尾よく実行するには複雑な攻撃になるとしている。パッチを適用することは重要だが、同社の説明によると、管理者がことさら心配する必要のない脆弱性のようだ。CVE-2021-34466のCVSS v3の評価スコアは5.7となっている。また、「悪用される可能性は低い」とされている。